ขอสอบถามเรื่อง JWT ครับ

[munto17]

พอดีผมยัง งง ๆ เรื่องของ Key แบบ Secret Key กับแบบ  Key คู่ว่าต่างกันยังไง เรื่องคอนเซปผมพอเข้าใจบ้าง(นิดนึง) ผมขอยกตัวอย่าง RS256 กับ HS256

HS256
1. ถ้าเราทำ Token หลุด คนที่เอาก็ไปก็สามารถเปลี่ยน data + signature แทนเราได้เลยระหว่างทาง หรือ ส่งข้อมูลเหมือนเป็นตัวเราแทนได้เลย ผมเข้าใจถูกใช่ไหมครับ เพราะยังไงเขาก็รู้อยู่แล้ว่าเราเข้ารหัสด้วยเทคนิคอะไรผ่านข้อมูล Header ส่วนแรก

RS256
2. ถ้าเราทำ Public key หลุด คนที่เอาก็ไปก็สามารถส่งข้อมูล data + signature ได้เลย ถ้าเขารู้โครงสร้างข้อมูลว่าต้องส่งอะไรไปบ้าง เช่นพวก select update create
3. แต่ถ้าเขาไม่รู้โครงสร้างข้อมูลที่ต้องส่ง ต่อให้รู้ Public key ก็แก้ไขระหว่างทางไม่ได้ หรือเนียนส่งไม่ได้ ผมเข้าใจถูกใช่ไหมครับ

เพิ่มเติม
4.แล้วแบบนี้ทั้งสองแบบ มันก็ไม่ค่อยต่างกันเลยในเมื่อถ้ารู้ Token หรือ Public key ก็ยังมีคนเนียนส่ง data ไป server ให้ server ประมวลผลได้อยู่ดี ทางเดียวที่จะรอดได้คือ ห้ามบอก Token หรือ Public key ใครเลย คือผมยังงงว่าจะใช้ประโยชน์ RS256 ยังไงในเมื่อ
เราเนียนส่งข้อมูลไป server ผ่าน Public key ที่ได้มาได้อยู่ดียังไง server ก็ถอดรหัสได้ครับ

[Best789.]

ตามครับ 

[asa123]

 

[ชื่อพี หน้าตาดีมาก]

 

[userhuman]

ปกติที่ผมทำผมว่ามันก็ปลอดภัยอยู่นะครับ ให้ตั้ง Accesskey และ Refreshkey ถ้าคนเอา accesskey ไปได้แล้วเอาไปสวมแทน ต้องไวหน่อยเพราะมันหมดอายุไวมาก ถ้าโดเมนมีการกันด้วย SSL ก็น่าจะยากขึ้นไปอีกนะครับ